개발자들을 위한 도구에서 모의 해킹, 시뮬레이션, 모바일 보안 도구까지
가상으로 열리는 행사지만 각종 오픈소스 도구들 새롭게 나타나...업계 기대 모아

[보안뉴스 문가용 기자] 며칠 있으면 보안 업계의 최대 행사 중 하나인 블랙햇이 열린다. 올해는 코로나 때문에 가상 행사 형태로 열리지만, 그럼에도 세계 각지의 보안 전문가들이 가진 열정은 식지 않고 있다. 그 열정이라는 것은 멋진 강연들로도 표현되겠지만, 매해 그렇듯 새로운 보안 도구들이라는 형태로도 나타날 예정이다. 이번 블랙햇에 소개될 새 보안 도구들 중 11개를 이번 주 주말판에 미리 소개해보기로 한다.


[이미지 = utoimage]

1. 엑스깃가드(xGitGuard)
깃허브에 포스팅 된 코드 내에서 사용자 크리덴셜이나 API 토큰 등 민감한 정보를 탐지하는 데 사용할 수 있는 개발자용 도구로 인공지능을 기반으로 하고 있다. 코드가 자유롭게 공유되는 공간에서 누군가의 실수나 부주의로 정보가 새나가는 경우가 종종 있는데, 그런 사고를 막고자 고안되었다. 텍스트 처리 알고리즘을 기반으로 하고 있어 꽤 높은 정확도를 자랑한다고 한다.

2. 쓰레자일(Threagile)
개발자들을 위한 오픈소스 애자일 도구다. 통합 개발 환경(IDE) 내에서 위협 모델링을 해주는 기능을 가지고 있다. 개발에 참여하는 사람들이 프로젝트 내에 존재하는 위협들을 최대한 빨리 파악할 수 있게 해주며, 따라서 주요 보안 사항들이 간과되지 않게 해준다. 간단한 도커 컨테이너 형태로 실행되며, 명령행 도구처럼 사용이 가능하다. REST-API가 있는 통합 서버로서도 활용이 가능하다.

3. UFO
보안 전문가들과 펌웨어 개발자들이 사물인터넷 장비에 탑재되어 있는 펌웨어의 보안 상태를 평가할 수 있게 해주는 도구로, 이미 알려진 취약점들을 탐지해주고 비밀번호와 인증서가 얼마나 강력한지도 확인한다. 펌웨어 내 존재하는 백도어 경로들에 대한 가이드도 제공한다. 사물인터넷 펌웨어를 여러 각도에서 평가해주고, 그 결과를 알려줌으로써 모의 해킹과 비슷한 효과를 발휘할 수 있다고 한다.

4. 머드 비주얼라이저(MUD-Visualizer)
머드 비주얼라이저는 개발자들이 사물인터넷 장비들에 탑재된 접근 제어 장치가 ‘생산자 사용 설명서(Manufacturer Usage Description, MUD)’와 충돌하지 않는지 확인할 수 있도록 해주는 도구다. 개발자들이 올바른 머드 파일들을 기획, 생성할 수 있도록 해주고, 시각화 기술을 통해 충돌 지점을 정확하게 확인할 수 있도록 해준다는 특징을 가지고 있다.

5. 카파(Capa)
멀웨어 샘플의 모든 기능을 자동으로 식별 및 탐지해주는 오픈소스 도구다. 멀웨어 분석가, 포렌식 전문가, 첩보 분석가 등 멀웨어를 자주 다루는 사람들을 위해 개발되었다고 한다. 또한 멀웨어가 다운로더인지, 백도어인지, 고유의 독특한 기능을 가졌는지, 의심스러운 요소들이 있는지도 알려준다. 즉, ‘나쁜 요소들이 있다’는 것에서 발전해 ‘어디가 어떤 식으로 나쁜 것처럼 보이는지’ 상세히 알려주는 도구라고 볼 수 있다.

6. BSF
BSF는 ‘봇넷 시뮬레이션 프레임워크(Botnet Simulation Framework)’의 준말이다. 보안 관리자들이 실제적인 봇넷 시뮬레이션을 할 수 있도록 만들어졌다고 한다. 봇넷의 다양한 행동 패턴들을 그대로 재현할 수 있는데, 탐지와 모니터링을 방해하는 기능까지도 구현된다. 새로운 봇넷을 공격자들보다 빠르게 파악 및 예상하는 데 도움이 될 것이라고 개발자들은 설명한다.

7. 퍼플샤프(PurpleSharp)
공격자들이 윈도우 액티브 디렉토리 환경을 어떤 식으로 노리고 공격하는지에 대한 통찰력을 보안 담당자들에게 제공하기 위한 오픈소스 도구라고 한다. 방어자들은 AD 환경에 멀웨어, 권한 상승, 지속적 공격 발판 확보, 크리덴셜 접근 등 다양한 공격을 모의로 적용해볼 수 있다. SMB, WMI, RPC 등 윈도우에 기본 탑재되어 있는 도구들을 악용한 공격도 실험 가능하다.

8. C2 매트릭스(C2 Matrix)
사용자 기업들에 레드팀/블루팀/퍼플팀 기능을 제공하는 도구라고 한다. 사용자들은 이 도구를 통해 공격자의 전략과 심리, 해킹 과정과 기술들을 보다 상세히 이해할 수 있게 된다. 특히 C&C 프레임워크를 시뮬레이션할 수 있어, C&C 구조에서 오는 공격들을 보다 빠르게 탐지하고 그에 대한 대응 능력도 갖출 수 있다. 현존하는 거의 모든 C&C 기능을 구현할 수 있다.

9. 컨트롤싱즈 플랫폼(ControlThings Platform)
SCADA, DCS 등 산업 현장 장비들과 시스템을 겨냥한 침투 테스트 도구다. 주요 공업 시설이나 사회 기반 시설의 보안 관리자들이, 보다 편리하게 시스템을 평가하고 관리할 수 있도록 하기 위해 만들어졌다. 특히 전통적인 IT 인프라를 평가하고, 임베드 기능을 가진 특수 도구들, 무선 장비, ICS 관련 도구들을 평가하고 강화하는 데 특화되어 있다. 즉 산업 시설 내 ‘오래된 기술’과 ‘신기술’을 고루 실험해볼 수 있다는 뜻이다.

10. 마누카(Manuka)
마누카는 공개출처정보(OSINT)를 기반으로 한 하니팟으로, 위협 분석가들과 보안 담당자들에게 미리 위협의 출현을 알려준다. 특히 공격자의 ‘정찰 활동’을 일찍부터 탐지해 알려줌으로써 늦지 않은 대응을 할 수 있게 된다. 기존 하니팟들이 실제 악성 행위에 초점을 맞추었다면, 마누카는 그런 악성 행위 이전에 발생하는 행위들을 탐지한다. 그러므로 대응의 시간을 더 확보해준다. 모듈 구성으로 되어 있으며, 따라서 보호 범위를 유연하게 늘였다 줄였다 할 수 있다.

11. 몹에스에프(MobSF)
‘모바일 시큐리티 프레임워크(MobSF)’의 준말이다. 자동화 멀웨어 분석 및 보안 평가, 모의 해킹 프레임워크라고 볼 수 있다. 안드로이드와 iOS 환경 모두에서 작동한다. 모바일 애플리케이션의 정적 분석과 동적 분석 모두를 할 수 있다. 모바일 앱 바이너리인 APK, IPA, APPX 등을 지원하며 집으로 압축된 소스코드 역시 분석 가능하다. REST API들을 제공해 CI/CD 및 데브섹옵스 파이프라인으로 쉽게 통합될 수도 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>